Red Hat advirtió el viernes que una puerta trasera maliciosa encontrada en la biblioteca de software de compresión de datos xz, ampliamente utilizada, puede estar presente en instancias de Fedora Linux 40 y en la distribución para desarrolladores Fedora Rawhide. El gigante de TI dijo que el código malicioso, que parece proporcionar acceso remoto de puerta trasera a través de OpenSSH y al menos systemd, está presente en xz 5.6.0 y 5.6.1. La vulnerabilidad ha sido designada CVE-2024-3094. Tiene una calificación de 10 sobre 10 en gravedad CVSS. Los usuarios de Fedora Linux 40 pueden haber recibido 5.6.0, dependiendo del momento de las actualizaciones de su sistema, según Red Hat. Y los usuarios de Fedora Rawhide, la versión de desarrollo actual de lo que será Fedora Linux 41, pueden haber recibido 5.6.1. Fedora 40 y 41 aún no han sido lanzados oficialmente; La versión 40 saldrá el próximo mes. Los usuarios de otras distribuciones de Linux y sistemas operativos deben verificar qué versión de la suite xz tienen instalada. Las versiones infectadas, 5.6.0 y 5.6.1, se lanzaron el 24 de febrero y el 9 de marzo, respectivamente, y es posible que no se hayan incorporado a las implementaciones de muchas personas. Es posible que este compromiso de la cadena de suministro se haya detectado lo suficientemente temprano como para evitar una explotación generalizada, y es posible que solo afecte principalmente a las distribuciones de última generación que adoptaron las últimas versiones de xz de inmediato. Debian Unstable y Kali Linux han indicado que, al igual que Fedora, están afectados; Todos los usuarios deben tomar medidas para identificar y eliminar cualquier compilación de xz con puerta trasera. “POR FAVOR, DETENGA INMEDIATAMENTE EL USO DE CUALQUIER INSTANCIA DE CUERO CRUDO DE FEDORA para trabajo o actividad personal”, gritó hoy el aviso de la subsidiaria de IBM a los cuatro vientos. «Fedora Rawhide volverá a xz-5.4.x en breve y, una vez hecho esto, las instancias de Fedora Rawhide se podrán volver a implementar de forma segura». Red Hat Enterprise Linux (RHEL) no se ve afectado. El código malicioso en las versiones 5.6.0 y 5.6.1 de xz ha sido ofuscado, dice Red Hat, y sólo está completamente presente en el código fuente tarball. Los artefactos de la segunda etapa dentro del repositorio de Git se convierten en código malicioso a través de la macro M4 en el repositorio durante el proceso de compilación. La biblioteca xz envenenada resultante es utilizada involuntariamente por software, como systemd del sistema operativo, después de que la biblioteca se haya distribuido e instalado. El malware parece haber sido diseñado para alterar el funcionamiento de los demonios del servidor OpenSSH que emplean la biblioteca a través de systemd. «La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd», explica Red Hat. «SSH es un protocolo comúnmente utilizado para conectarse de forma remota a sistemas y sshd es el servicio que permite el acceso». Esta interferencia de autenticación tiene el potencial de permitir que un malhechor rompa la autenticación sshd y obtenga de forma remota acceso no autorizado a un sistema afectado. En resumen, la puerta trasera parece funcionar así: las máquinas Linux instalan la biblioteca xz con puerta trasera (específicamente, liblzma) y esta dependencia, a su vez, es finalmente utilizada de alguna manera por el demonio OpenSSH de la computadora. En ese punto, la biblioteca xz envenenada puede entrometerse con el demonio y potencialmente permitir que un malhechor no autorizado inicie sesión de forma remota. Como lo expresó Red Hat: Una publicación en la lista de correo de seguridad de Openwall realizada por Andrés Freund, desarrollador y responsable de PostgreSQL, explora la vulnerabilidad con mayor detalle. La IA alucina paquetes de software y los desarrolladores los descargan LEER MÁS “La puerta trasera inicialmente intercepta la ejecución reemplazando los solucionadores ifunc crc32_resolve(), crc64_resolve() con un código diferente, que llama a _get_cpuid(), inyectado en el código (que anteriormente sería solo estático en línea). funciones). En xz 5.6.1, la puerta trasera se ofuscó aún más y se eliminaron los nombres de los símbolos”, explica Freund, con la salvedad de que no es un investigador de seguridad ni un ingeniero inverso. Freund especula que el código «parece probable que permita alguna forma de acceso u otra forma de ejecución remota de código». El nombre de la cuenta asociado con las confirmaciones infractoras, junto con otros detalles como la hora en que se realizaron esas confirmaciones, ha llevado a especular que el autor del código malicioso es un atacante sofisticado, posiblemente afiliado a una agencia de un estado-nación. La Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno de EE. UU. (CISA) ya ha emitido un aviso aquí. ® URL de publicación original: https://go.theregister.com/feed/www.theregister.com/2024/03/29/malicious_backdoor_xz/

Source link